eWrota
BIPy jednostek organizacyjnych.
Polityka bezpieczeństwa danych osobowych
Polityka bezpieczeństwa danych osobowych
w Bibliotece - Gminnym Centrum Kultury
w Trzebielinie
űródła prawa
Biblioteka - Gminne Centrum Kultury w Trzebielinie zapewnia bezpieczeństwo przetwarzanych danych osobowych na podstawie:
Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE z 4 maja 2016 r. L nr 119 poz. 1 ze zm.) - dalej: RODO;
Ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 24 maja 2018 r. poz. 1000 ze zm.) ? dalej: ustawa o ochronie danych osobowych;
Ustawy z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. z 19 kwietnia 2019 r. poz. 730),
niniejszej Polityki bezpieczeństwa danych osobowych (zwanej dalej: instrukcją).
Cel dokumentu
Niniejsza instrukcja jest dokumentem mającym na celu przede wszystkim określenie środków, procedur i zasad zapewniających ochronę przed zagrożeniem i potencjalnym zagrożeniem danych osobowych przetwarzanych przez instytucję kultury: Bibliotekę - Gminne Centrum Kultury w Trzebielinie - zwaną dalej: instytucją lub administratorem.
Do kategorii osób, których dane osobowe instytucja przetwarza, należą:
- pracownicy,
- zleceniobiorcy
- czytelnicy
- użytkownicy (uczestnicy wydarzeń organizowanych przez instytucję)
- kontrahenci
Instrukcję przechowuje się w wersji elektronicznej oraz w wersji papierowej w siedzibie instytucji jako administratora danych. Instrukcję udostępnia się do wglądu osobom posiadającym upoważnienie do przetwarzania danych osobowych na ich wniosek, a także osobom, którym ma zostać nadane upoważnienie do przetwarzania danych osobowych, celem zapoznania się z jej treścią.
Słowniczek pojęć
Ilekroć w niniejszej instrukcji jest mowa o:
Danych osobowych - należy przez to rozumieć wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
Przetwarzaniu danych - są to jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te operacje, które wykonuje się w systemach informatycznych;
Administratorze danych - należy przez to rozumieć organ, jednostkę organizacyjną, podmiot lub osobę, które decydują o celach i środkach przetwarzania danych osobowych. W niniejszej dokumentacji przetwarzania danych osobowych przez Administratora danych rozumie się Bibliotekę - Gminne Centrum Kultury w Trzebielinie , dalej zwaną „Administratorem”;
Inspektorze ochrony danych lub IOD - należy przez to rozumieć osobę fizyczną wyznaczoną przez Administratora, która jest odpowiedzialna za zapewnienie przetwarzania danych zgodnie z odpowiednimi przepisami ustawy i rozporządzenia.
Dokumentacji przetwarzania danych osobowych - rozumie się przez to politykę bezpieczeństwa oraz wszystkie załączniki do polityki bezpieczeństwa.
RODO - Rozporządzeniu Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 r.(Dz.Urz. UE L Nr 119, str.1) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE nazywanego ogólnym Rozporządzeniem o ochronie danych osobowych (RODO).
Rozporządzeniu - rozumie się przez to rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z dnia 29 kwietnia 2004 r. (Dz.U. Nr 100, poz. 1024);
Ustawie - Ustawa z dnia 20 maja 2018r o ochronie danych osobowych, (DzU, z dnia 24 maja 2018, poz.1000).
Prezesie Urzędu Ochrony Danych Osobowych (lub „PUODO”) - rozumie się przez to organ ochrony danych osobowych;
Osobie fizycznej możliwej do zidentyfikowania - jest to osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności poprzez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne; informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań;
Osobie upoważnionej - rozumie się przez to osobę, która otrzymała od Administratora upoważnienie do przetwarzania danych;
Upoważnieniu - rozumie się przez to oświadczenie nadawane przez Administratora wskazujące z imienia i nazwiska osobę, która ma prawo przetwarzać dane w zakresie wskazanym w tym oświadczeniu;
Zbiorze danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
Przetwarzanie danych osobowych
Czynności przetwarzania
1. Instytucja jako administrator gromadzi przetwarzane dane osobowe w zbiorach danych i nie podejmuje takich czynności przetwarzania, które wiązałyby się z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka naruszenia zasad ochrony danych osobowych. Planowanie takiego działania wymaga wykona czynności z art. 35 i następnych RODO.
2. Obszar przetwarzania danych osobowych obejmuje budynki i pomieszczenia instytucji zlokalizowane w Trzebielinie, Suchorzu, Zielinie, Starkowie, Poborowie, Cetyniu, Objezierzu, Miszewie, Gumieńcu, a także wszystkie komputery i inne nośniki danych, które zwierają dane osobowe przetwarzane przez instytucję.
3. Administrator danych prowadzi rejestr czynności przetwarzania danych, którego wzór stanowi załącznik nr 1 do instrukcji.
Zgody, upoważnienia i przygotowanie merytoryczne osób przetwarzających dane
1. Instytucja przetwarza dane osobowe za zgodą osób, których dane dotyczą. Ogólna klauzula udzielenia zgody stanowi załącznik nr 2 do niniejszej instrukcji.
2. W przypadkach określonych w art. 18 RODO osoba, której dane dotyczą, ma prawo ograniczenia przetwarzania danych osobowych.
3. Każda osoba przetwarzająca dane osobowe powinna być pisemnie upoważniona do przetwarzania zgodnie z upoważnieniem do przetwarzania danych osobowych, którego wzór stanowi załącznik nr 3 do niniejszej instrukcji.
4. Każdą osobę przed dopuszczeniem do czynności polegających na przetwarzaniu danych osobowych należy przeszkolić i zapoznać z przepisami RODO oraz innymi mającymi stasowanie w danym przypadku. Za przeprowadzenie szkolenia odpowiada inspektor ochrony danych. Po zakończeniu szkolenia jego uczestnicy potwierdzają znajomość tych zasad i deklarują ich stosowanie. Wzór oświadczenia pracownika o zapoznaniu się z instrukcją stanowi załącznik nr 4 do niniejszej instrukcji.
5. Do przetwarzania danych osobowych mają być upoważnione osoby, które są pracownikami instytucji.
6. Upoważnienie do przetwarzania danych osobowych wygasa z chwilą upływu terminu wypowiedzenia lub rozwiązania umowy zawartej przez Administratora z osobą, której zostało nadane lub w przypadku gdy zostało nadane na czas określony z upływem czasu na jaki zostało nadane.
7. Inspektor ochrony danych prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych.
Zasady przetwarzania danych
1. Wszystkie osoby mają obowiązek przetwarzać dane osobowe zgodnie z obowiązującymi przepisami prawa określającymi zasady ochrony danych osobowych, zgodnie z innymi przepisami oraz zgodnie z niniejszą instrukcją.
2. Instytucja jako administrator danych osobowych przetwarza je z poszanowaniem zasad określonych we właściwych przepisach, tj.:
przetwarza je zgodnie z zasadami określonymi w art. 6 i 9 RODO;
zabezpiecza dane osobowe przez naruszeniami;
przetwarza dane zgodnie z zasadami rzetelności i przejrzystości, przetwarzania w konkretnych i prawnie uzasadnionych celach, a także przetwarzania tylko w zakresie niezbędnym dla osiągnięcia celu przetwarzania danych;
przechowuje dane przez okres niezbędny i uzasadniony potrzebami ich przetwarzania, a także sprawdza ich prawidłowość oraz dokonuje ich aktualizacji;
usuwa lub poddaje anonimizacji dane osobowe po upływie okresu przetwarzania.
Naruszenie zasad prawidłowego przetwarzania danych osobowych
1. Naruszenie zasad przetwarzania i ochrony danych osobowych, a także próba ich naruszenia to m.in.:
przekroczenie zakresu upoważnienia, a także przetwarzanie danych niezgodnie z celem ich przetwarzania oraz niezgodnie z obowiązującymi zasadami określonymi właściwymi przepisami;
niezachowanie tajemnicy związanej z zasadami przetwarzania danych osobowych, a także niedopełnienie (umyślnie lub nieumyślnie) obowiązku zapewnienia ochrony danych;
udostępnianie lub umożliwienie udostępniania danych osobom lub podmiotom do tego nieupoważnionym (nieuzasadnione i nieuprawnione kopiowanie i udostępnianie danych, a także uszkodzenie, utrata, zmiana itp.);
naruszenie innych niż wymienione wyżej praw osób, których dane są przetwarzane.
2. W razie wymienionych wyżej okoliczności osoba upoważniona do przetwarzania danych osobowych ma obowiązek podjąć czynności niezbędne do ograniczenia skutków naruszenia i powiadomić administratora niezwłocznie, w najkrótszym możliwym czasie. Zakres tych czynności należy dopasować do konkretnej sytuacji.
3. Inspektor ochrony danych prowadzi rejestr naruszeń ochrony danych osobowych, którego wzór stanowi załącznik nr 5 do niniejszej instrukcji.
Inspektor ochrony danych
1. Instytucja ma obowiązek powołać inspektora ochrony danych (IOD).
2. Instytucja zapewnia, że inspektor ochrony danych jest właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych w instytucji, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.
3. Instytucja zapewnia, że inspektor ochrony danych nie otrzymuje instrukcji dotyczących wykonywania jego zadań. Nie jest on odwoływany ani karany przez administratora za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega dyrektorowi instytucji.
4. Zadania inspektora ochrony danych obejmują:
1) Informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
2) monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
3) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
4) współpraca z organem nadzorczym;
5) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach;
6) pełnienie roli punktu kontaktowego dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego rozporządzenia.
7) prowadzenie rejestru czynności lub rejestru kategorii czynności
Środki techniczne i organizacyjne niezbędne dla prawidłowego przetwarzania danych
Zakres środków
1. Instytucja zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, dostępności, rozliczalności i ciągłości przetwarzanych danych osobowych.
2. Instytucja stosuje środki ochrony, które są adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych elementów procesu przetwarzania danych osobowych.
3. Środki techniczne i organizacyjne w tym zakresie obejmują w szczególności:
ograniczenie dostępu do pomieszczeń, w których przetwarzane są dane osobowe, a także do sprzętu (komputery, nośniki danych) jedynie do osób odpowiednio upoważnionych (osoby nieposiadające upoważnienia mogą przebywać w pomieszczeniach wykorzystywanych do przetwarzania danych jedynie w towarzystwie osoby upoważnionej, co dotyczy również korzystania ze sprzętu wykorzystywanego do przetwarzania danych osobowych);
stosowanie odpowiednich sprzętów i urządzeń (szafy, szafki, biurka, sejfy, niszczarki itp.) do zabezpieczania danych osobowych;
ochronę danych przechowywanych w komputerach i innych nośnikach danych m.in. poprzez tworzenie kopii zapasowych, stosowanie programów antywirusowych, stosowanie szyfrów i haseł itd.
Audyt środków
Administrator zapewnia regularne testowanie, pomiar i ocenę skuteczności stosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych przynajmniej raz na rok.
Prawa osób
1. Instytucja zapewnia, poprzez odpowiednie i adekwatne do potrzeb nakłady oraz obsługę, przestrzeganie praw osób, których dane dotyczą, i innych osób w szczególności poprzez:
wypełnianie ciążących na niej w tym zakresie obowiązków informacyjnych określonych w art. 13 i 14 RODO;
możliwość wnoszenia oraz odpowiednią i sprawną obsługę żądań osób, których dane są przetwarzane (wnoszenie i obsługa żądań osób może obejmować w szczególności: wprowadzenie procedur gwarantujących ochronę praw i wolności osób trzecich, informowanie osób o nieprzetwarzaniu ich danych osobowych, informowaniu o nierozpatrzeniu żądania, informowanie danej osoby na jej żądanie o przetwarzaniu jej danych, odpłatne wydawanie kopii danych, sprostowanie danych, uzupełnianie danych, usunięcie danych, ograniczenie przetwarzania, przenoszenie danych na odpowiednich nośnikach);
powiadamianie o naruszeniach.
Bezpieczeństwo danych osobowych
1. Każdy kto przetwarza dane osobowe obowiązany jest zachować w tajemnicy dane osobowe do których posiada dostęp zarówno zamierzony jak i przypadkowy, sposoby zabezpieczania danych jak również wszelkie informacje, które powzięły w czasie przetwarzania danych. Obowiązek zachowania danych w tajemnicy jest bezterminowy.
2. Podczas przetwarzania danych należy zachować szczególną ostrożność i podjąć wszelkie możliwe środki umożliwiające zabezpieczenie oraz ochronę danych przed nieuprawnionym dostępem, modyfikacją, zniszczeniem lub ujawnieniem.
3. Należy dochować należytej staranności podczas przesyłania dokumentów zawierających dane za pomocą środków komunikacji elektronicznej, w szczególności należy upewnić się, czy przesyłane za pomocą poczty elektronicznej dokumenty trafiły do właściwego odbiorcy.
4. W przypadku przesyłania za pomocą środków komunikacji elektronicznej zestawień, spisów czy innych dokumentów zawierających dane osobowe, przesyłany dokument należy zaszyfrować, a hasło przesłać w miarę możliwości innym środkiem komunikacji elektronicznej.
5. Wszelkie dokumenty zwierające dane osobowe przechowywane są, w miarę możliwości, w szafach lub pomieszczeniach zamykanych na klucz.
6. Osoba będąca dysponentem kluczy jest zobowiązana nie przekazywać kluczy do budynków i pomieszczeń w których przetwarzane są dane osobom nieuprawnionym, a ponadto obowiązana jest przedsięwziąć działania celem wykluczenia ryzyka ich utraty.
7. Osoba, która utraciła posiadane klucze do pomieszczeń Administratora w których przetwarzane są dane, niezwłocznie zgłasza tą okoliczność IOD, Administratorowi.
8. IOD lub Administrator podejmują wszelkie niezbędne środki techniczne organizacyjne w celu zabezpieczenia pomieszczenia, do którego klucze utracono.
9. Osoba przetwarzająca dane po zakończeniu pracy porządkuje swoje stanowisko zabezpieczając dokumenty i nośniki elektroniczne z danymi w specjalnie do tego przeznaczonych szafach lub pomieszczeniach.
10. Niszczenie dokumentów zawierających dane odbywa się jedynie za pomocą niszczarki.
11. Każdy dokument zawierający dane, a nieużyteczny niszczy się niezwłocznie.
12. Podczas korzystania z urządzeń wielofunkcyjnych należy zachować szczególną ostrożność. Dokumenty kopiowane bądź skanowane wyjmowane są z urządzenia wielofunkcyjnego niezwłocznie po ich użyciu. Dotyczy to również dokumentów powstałych na skutek kopiowania bądź skanowania.
13. Przebywanie osób trzecich w obszarze, w którym przetwarzane są dane jest dopuszczalne za zgodą Administratora lub w obecności osoby upoważnionej.
Reagowanie na incydenty
1. W przypadku podejrzenia naruszenia zasad bezpieczeństwa danych osobowych lub naruszenia zabezpieczeń stosowanych przez Administratora dla ochrony przetwarzanych danych osobowych należy niezwłocznie zawiadomić IOD jeżeli jest wyznaczony. Jeżeli IOD nie został wyznaczony należy niezwłocznie zawiadomić Administratora o dostrzeżonych lub podejrzewanych naruszeniach.
2. W przypadku opisanym w ust. 1 IOD przeprowadza sprawdzenie doraźne. Sprawdzenie jest dokonywane niezwłocznie.
3. Przy dokonywaniu sprawdzenia IOD przysługują uprawnienia:
- utrwalenia danych z systemu informatycznego służącego do przetwarzania lub zabezpieczania na informatycznym nośniku danych lub dokonania wydruku tych danych;
- odebrania wyjaśnień osoby, której czynności objęto sprawdzeniem;
- sporządzeniu kopii otrzymanego dokumentu;
- sporządzeniu kopii obrazu wyświetlonego na ekranie urządzenia stanowiącego część systemu informatycznego służącego do przetwarzania lub zabezpieczania danych osobowych.
4. Jeżeli IOD nie został wyznaczony Administrator w przypadku o którym mowa w ust. 1 obowiązany jest przeprowadzić postępowanie wyjaśniające i ustalające skutki oraz przyczyny naruszenia lub narażenia na naruszenie zasad bezpieczeństwa i sposobów zabezpieczenia, w sposób odpowiadający czynnościom podejmowanym przez IOD w przypadku sprawdzenia doraźnego.
Zgłaszanie naruszeń
1. W przypadku naruszenia ochrony danych osobowych, instytucja bez zbędnej zwłoki - w miarę możliwości, nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
2. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
Eksportowanie danych
1. Instytucja zapewnia, że przekazanie danych osobowych, które są przetwarzane lub mają być przetwarzane po przekazaniu do państwa trzeciego lub organizacji międzynarodowej, następuje tylko, gdy - z zastrzeżeniem innych przepisów RODO - instytucja spełni warunki określone w rozdziale RODO, w tym warunki dalszego przekazania danych z państwa trzeciego lub przez organizację międzynarodową do innego państwa trzeciego lub innej organizacji międzynarodowej.
2. Instytucja dba i zapewnia, aby nie został naruszony stopień ochrony osób fizycznych zagwarantowany w RODO.
3. Wszystkie przypadki eksportu danych instytucja rejestruje w rejestrze czynności przetwarzania danych osobowych.
Polityka haseł
1. Hasła użytkowników lub inne dane uwierzytelniające podlegają szczególnej ochronie.
2. Użytkownik ponosi pełną odpowiedzialność za utworzenie hasła (prócz pierwszego hasła do systemu nadawanego przez administratora systemu informatycznego) i jego przechowywanie.
3. Każdy użytkownik posiadający dostęp do systemów informatycznego administratora danych jest obowiązany do:
- zachowania w poufności wszystkich swoich haseł lub innych danych uwierzytelniających wykorzystanych do pracy w systemie informatycznym;
- niezwłocznej zmiany haseł w przypadkach zaistnienia podejrzenia lub rzeczywistego ujawnienia;
- niezwłocznej zmiany hasła tymczasowego, przekazanego przez administratora systemu informatycznego;
- poinformowania inspektora ochrony danych o podejrzeniu lub rzeczywistym ujawnieniu hasła;
- stosowania haseł o minimalnej długości 8 znaków, zawierających kombinację małych
i dużych liter oraz cyfr lub znaków specjalnych;
- stosowania haseł nie posiadających w swojej strukturze części loginu;
- stosowania haseł nie będących zbliżone do poprzednich (np.Tadeusz$2013 - Tadeusz$2014);
- zmiany wykorzystywanych haseł nie rzadziej niż raz na 30 dni.
4. Hasła zachowują swoją poufność również po ustaniu ich użyteczności.
5. Zabronione jest:
- zapisywanie haseł w sposób jawny i umieszczania ich w miejscach dostępnych dla innych osób;
- stosowanie haseł opartych na skojarzeniach, łatwych do odgadnięcia lub wywnioskowania
z informacji dotyczących danej osoby, np. imiona, numery telefonów, daty urodzenia itp.;
- używanie tych samych haseł w różnych systemach operacyjnych i aplikacjach;
- udostępnianie haseł innym użytkownikom;
- przeprowadzanie prób łamania haseł;
- wpisywanie haseł „na stałe” (np. w skryptach logowania) oraz wykorzystywania opcji auto-zapamiętywania haseł (np. w przeglądarkach internetowych)
Procedura rozpoczęcia, zawieszenia, prowadzenia i zakończenia pracy w systemie informatycznym
1. Rozpoczęcie pracy w systemie informatycznym następuje po wprowadzeniu unikalnego identyfikatora i hasła.
2. Zawieszenie pracy w systemie informatycznym tj. brak wykonywania jakichkolwiek czynności przez okres 5 minut w systemie informatycznym powoduje automatycznie uruchomienie systemowego wygaszacza ekranu blokowanego hasłem. Zastosowanie powyższego mechanizmu nie zwalnia użytkownika z obowiązku każdorazowego blokowania ekranu wygaszaczem chronionym hasłem po odejściu od stanowiska.
3. W sytuacji gdy wgląd w wyświetlane na monitorze dane może mieć nieuprawniona osoba należy tymczasowo zmienić widok wyświetlany na monitorze lub obrócić monitor (przymknąć ekran laptopa) w sposób uniemożliwiający wgląd w wyświetlaną treść.
4. Przed zakończeniem pracy należy upewnić się, czy dane zostały zapisane, aby uniknąć ich utraty danych.
5. Po zakończeniu pracy użytkownik obowiązany jest wylogować się z systemu informatycznego przetwarzającego dane osobowe i z systemu operacyjnego, zabezpieczyć nośniki informacji (elektroniczne i papierowe) oraz wyłączyć komputer.
6. Użytkownik systemu informatycznego przetwarzającego dane osobowe niezwłocznie powiadamia administratora systemu w przypadku, gdy:
- Wygląd systemu, sposób jego działania, zakres danych lub sposób ich przedstawienia przez system informatyczny odbiega od standardowego stanu uznawanego za typowy dla danego systemu informatycznego;
- Niektóre opcje, dostępne użytkownikowi w normalnej sytuacji, przestały być dostępne lub też opcje niedostępne użytkownikowi w normalnej sytuacji, stały się dostępne.
Zasady korzystania ze służbowej poczty elektronicznej
1. Użytkownikowi zostaje nadany dedykowany adres skrzynki poczty elektronicznej działający w domenie administratora danych.
2. Informacja o służbowym adresie skrzynki pocztowej jest jawna i dostępna powszechnie, w tym może być dostępna na łamach witryny internetowej administratora danych w postaci książki adresowej.
3. Nadany użytkownikowi adres skrzynki poczty elektronicznej służy wyłącznie do realizacji celów służbowych lub umownych. Korespondencja realizowana drogą elektroniczną
z wykorzystaniem systemów informatycznych administratora danych podlega rejestrowaniu
i może być monitorowana. Informacje przesyłane za pośrednictwem sieci administratora danych (w tym do i z Internetu) nie stanowią własności prywatnej użytkownika.
4. Wszelka korespondencja elektroniczna prowadzona przez pracownika, a niezwiązana
z działalnością administratora danych, powinna być prowadzona przez prywatną skrzynkę poczty elektronicznej użytkownika.
5. Użytkownicy mają prawo korzystać z systemu poczty elektronicznej dla celów prywatnych wyłącznie okazjonalnie i powinno być to ograniczone do niezbędnego minimum.
6. Korzystanie z systemu poczty elektronicznej dla celów prywatnych nie może wpływać na jakość i ilość świadczonej przez użytkownika pracy oraz na prawidłowe i rzetelne wykonywanie przez niego obowiązków służbowych lub umownych, a także na wydajność systemu poczty elektronicznej.
7. Zabronione jest:
- wysyłanie materiałów służbowych na konta prywatne (np. celem pracy nad dokumentami w domu);
- wykorzystywanie systemu poczty elektronicznej do działań mogących zaszkodzić wizerunkowi administratora danych;
- odbieranie przesyłek z nieznanych źródeł;
- otwieranie załączników z plikami samorozpakowującymi się bądź wykonalnymi typu exe, com, itp.;
- przesyłanie pocztą elektroniczną plików wykonywalnych typu: bat, com, exe, plików multimedialnych oraz plików graficznych;
- ukrywanie lub dokonywanie zmian tożsamości nadawcy;
- czytanie, usuwanie, kopiowanie lub zmiana zawartości skrzynek pocztowych innego użytkownika;
- odpowiadanie na niezamówione wiadomości reklamowe lub wysyłane łańcuszki oraz na inne formy wymiany danych określanych spamem; w przypadku otrzymania takiej wiadomości należy przesłać ją administratorowi systemu informatycznego;
- posługiwanie się adresem służbowym e-mail w celu rejestrowania się na stronach handlowych, informacyjnych, chatach lub forach dyskusyjnych, które nie dotyczą zakresu wykonywanej pracy lub obowiązków umownych;
- wykorzystywanie poczty elektronicznej do reklamy prywatnych towarów lub usług, działalności handlowo-usługowej innej niż wynikającej z potrzeb administratora danych lub do poszukiwania dodatkowego zatrudnienia.
Zasady korzystania z sieci publicznej (Internet)
1. Zdalne Korzystanie z systemów informatycznych poprzez sieć publiczną może mieć miejsce po zastosowaniu systemu uwierzytelniania użytkownika i szyfrowanego kanału transmisji.
2. Zdalny dostęp do serwerów w celach administracyjnych może mieć miejsce po zastosowaniu systemu uwierzytelniania użytkownika i szyfrowanego kanału transmisji.
3. Dostęp użytkowników do sieci publiczne (Internet) jest ograniczony do niezbędnego minimum na danym stanowisku pracy.
4. Wprowadza się całkowite ograniczenia w dostępie do treści uznanych za pornograficzne, rasistowskie, traktujące o przemocy, przestępstwach, jak również do protokołów umożliwiających wymianę plików w sieciach z naruszeniem przepisów prawa.
Zasady postępowania z nośnikami elektronicznymi oraz VPN podczas pracy poza obszarem przetwarzania danych
1. Każdy użytkownik wymiennych nośników elektronicznych oraz użytkownicy zdalnych dostępów do sieci służbowej administratora danych (VPN) oraz użytkownicy elektronicznych kart dostępu ponoszą całkowitą odpowiedzialność za powierzony do użytkowania sprzęt oraz są obowiązani do stosowania się do poniż-szych zasad:
1) Zabrania się pozostawiania bez opieki w miejscach publicznych nośników wymiennych przetwarzających informacje administratora danych;
2) Komputery przenośne należy przewozić jako bagaż podręczny i w miarę możliwości je maskować;
3) Użytkownik wykonując czynności zawodowe lub umowne w domu dba o należyte zabezpieczenie powierzonego sprzętu oraz dostępu do informacji przed nieautoryzowanym dostępem osób trzecich;
4) Zabrania się spożywania posiłków i picia podczas pracy z powierzonym sprzętem;
5) Zabrania się udostępniania osobom trzecim nośników elektronicznych informacji oraz powierzonego sprzętu będącego własnością Administratora;
6) W przypadku utraty nośnika elektronicznego lub sprzętu komputerowego należy ten fakt bezzwłocznie zgłosić do bezpośredniego przełożonego lub administratora systemu informatycznego. Bezpośredni przełożony lub administrator systemu informatycznego bezzwłocznie zgłaszają taki fakt do administratora bezpieczeństwa informacji, ponieważ zagubienie nośnika przetwarzającego dane może wiązać się z utratą poufności informacji chronionych przez administratora danych;
7) Problemy wynikające z nieprawidłowego funkcjonowania sprzętu komputerowego należy zgłaszać administratorowi.
Użytkowanie sprzętu komputerowego, oprogramowania, nośników danych
1. Do sprzętu komputerowego zalicza się między innymi:
- komputery stacjonarne,
- komputery przenośne,
- tablety,
- smartphony,
- drukarki,
- modemy,
- monitory,
- routery,
- osprzęt dostarczony razem z wyżej wymienionym sprzętem lub zakupiony oddzielnie,
a w szczególności: zasilacze, torby, klawiatury, myszki komputerowe.
2. Administrator udziela pomocy użytkownikowi w obsłudze sprzętu i oprogramowania.
3. W przypadku niepoprawnego i niezgodnego z przeznaczeniem użytkowania przez użytkownika sprzętu komputerowego, administrator systemu informatycznego informuje o powyższym administratora bezpieczeństwa in-formacji.
4. Użytkownik jest zobowiązany do dbałości o sprzęt oraz oprogramowanie, a także odpowiedzialny za zabezpieczenie go przed używaniem przez osoby nieuprawnione oraz do ochrony przed kradzieżą lub zagubieniem.
5. Użytkownik nie może samodzielnie zmieniać konfiguracji przekazanego sprzętu komputerowego oraz instalować, usuwać oprogramowania., w tym nie może używać na przekazanym sprzęcie prywatnego oprogramowania.
Ochrona przed szkodliwym oprogramowaniem
1. Zidentyfikowanymi obszarami systemu informatycznego administratora danych narażonymi na ingerencję wirusów oraz innego szkodliwego oprogramowania są dyski twarde lub karty pamięci urządzeń, pamięć RAM oraz elektroniczne nośniki informacji.
2. Drogą przedostania się wirusów lub szkodliwego oprogramowania może być sieć publiczna, wewnętrzna sieć teleinformatyczna lub elektroniczne nośniki informacji.
3. Użytkownicy systemu mają obowiązek skanowania każdego zewnętrznego elektronicznego nośnika informacji, który chcą wykorzystać.
4. W przypadku stwierdzenia pojawienia się wirusa i braku możliwości usunięcia go przez program antywirusowy, użytkownik skontaktuje się z administratorem systemu informatycznego.
Postanowienia końcowe
1. W zakresie nieuregulowanym w niniejszej instrukcji zastosowanie znajdują odpowiednie przepisy RODO, ustawy o ochronie danych osobowych, a także przepisy innych ustaw mających zastosowanie w danym przypadku, jeżeli dotyczą zasad przetwarzania danych osobowych.
2. Za niedopełnienie obowiązków wynikających z instrukcji pracownik ponosi odpowiedzialność na podstawie Kodeksu pracy, przepisów o ochronie danych osobowych oraz Kodeksu karnego.
Załącznik nr 1 do instrukcji
Rejestr czynności przetwarzania danych osobowych
Biblioteka - Gminne Centrum Kultury w Trzebielinie
Tel. 59 858 02 29
Mail: biblioteka@trzebielino.pl
Cele przetwarzania |
Opis kategorii osób |
Kategorie odbiorców |
Przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej |
Terminy usunięcia danych |
Opis technicznych i organizacyjnych środków bezpieczeństwa |
Rekrutacja, obsługa czytelników, realizacja określonych celów statutowych instytucji kultury, pozyskiwanie danych osób biorących udział w wydarzeniach organizowanych przez instytucję, realizacja grantów realizowanych przez instytucję. |
Pracownicy, Kontrahenci, Czytelnicy , Uczestnicy wydarzeń organizowanych przez instytucję oraz realizowanych projektów/grantów (imię, nazwisko, adres, pesel, data urodzenia, miejsce zamieszkania). |
Banki, dział kadrowo - płacowy, dział wypożyczalni, dział księgowości, organ emerytalno - rentowy, organ podatkowy, organ właściwy dla publicznych świadczeń, organ właściwy dla zasiłków chorobowych. |
Nie dotyczy |
Okres przechowywania danych osobowych wynika z celu, dla jakiego te dane są przetwarzane |
Pomieszczenia, w których przetwarzane są dane wyposażone są w system alarmowy oraz całodobowy monitoring Została opracowana i wdrożona polityka bezpieczeństwa. |
Załącznik nr 2 do instrukcji
Wyrażenie zgody na przetwarzanie danych osobowych
Czy zgadza się Pan / Pani na przetwarzanie Pana / Pani danych osobowych przez naszą instytucję kultury, tj. Bibliotekę - Gminne Centrum Kultury w Trzebielinie z siedzibą w Trzebielinie przy ul. Pomorskiej 24.
……. ………
TAK NIE
Wyrażenie zgody na przetwarzanie danych osobowych wrażliwych
Czy zgadza się Pan / Pani na przetwarzanie przez naszą instytucję kultury, tj. Bibliotekę - Gminne Centrum Kultury w Trzebielinie z siedzibą w Trzebielinie przy ul. Pomorskiej 24 w celu ……………………………………………………………………….…………………………..
Pana / Pani danych osobowych, które Pan / Pani przekazał (-a) nam
……………………………….……………………………….………………………………….
W zawiązku z tym, że wymienione wyżej dane należą do danych szczególnych (tzw. dane wrażliwe), prosimy o wyraźne udzielenie zgody na ich przetwarzanie.
……. ………
TAK: NIE
zgadzam się na przetwarzanie moich
danych osobowych, w tym wrażliwych
Załącznik nr 3 do instrukcji
Upoważnienie do przetwarzania danych osobowych
Na podstawie art. 29 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE z 4 maja 2016 r. L nr 119 poz. 1 ze zm.) - upoważniam Panią / Pana
…………………………………………………………………………………………………
(podać imię, nazwisko i stanowisko lub funkcję osoby upoważnianej do przetwarzania danych osobowych)
- do przetwarzania danych osobowych w zakresie pełnionej funkcji / zajmowanego stanowiska
…………………………………………………………………………………………………...
Okres ważności upoważnienia:
…………………………………………………………………………………………………..
……………………………………………
(podpis osoby uprawnionej do nadania upoważnienia)
Data wygaśnięcia upoważnienia: …......................................
(np. data wygaśnięcia umowy z instytucją)
Upoważnienie odwołano dnia: ….....................................
………………………………………………………………..
(podpis osoby upoważnionej do odwołania upoważnienia)
Załącznik nr 4 do instrukcji
Oświadczenie
…………………………………………………………………………………………………
(imię i nazwisko pracownika)
…………………………………………
(stanowisko)
Oświadczam, że zostałem/am zapoznany/a z Polityką bezpieczeństwa danych osobowych obowiązującą w Bibliotece - Gminnym Centrum Kultury w Trzebielinie.
Treść powyższej instrukcji przyjąłem/am do wiadomości i zobowiązuje się do stałego jej przestrzegania.
……………………………………………
(data i podpis pracownika)
Załącznik nr 5 do instrukcji
Rejestr naruszeń ochrony danych osobowych
Lp. |
Opis, miejsce i okoliczności naruszenia |
Data i godzina stwierdzenia naruszenia |
Opis konsekwencji naruszenia |
Kategorie danych osobowych oraz liczba osób, których dotyczy naruszenie |
Osoba odpowiedzialna za naruszenie |
Opis podjętych działań zaradczych |
Rezultat działań naprawczych |
Czy poinformowano właściwe organy ścigania |
Czy zachodzi obowiązek zgłoszenia organowi nadzoru |
|
|
|
|
|
|
|
|
|
|
Metadane - wyciąg z rejestru zmian
| Akcja | Osoba | Data |
|---|---|---|
| Dodanie dokumentu: | Agnieszka Jedlecka | 22-09-2023 11:38:37 |
| Osoba, która wytworzyła informację lub odpowiada za treść informacji: | Marta Sikora - Powarzyńska | 22-09-2023 |
| Ostatnia aktualizacja: | Agnieszka Jedlecka | 22-09-2023 11:38:37 |
